Polityka Prywatności
Wersja 1.3 | Data wejścia w życie: 11.03.2026 | poprzednia: 1.2 z 04.03.2026
Niniejsza Polityka dotyczy serwisu plannermag.io oraz aplikacji dostępnej pod adresem app.plannermag.io.
§ 1. Administrator Danych Osobowych
Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu i aplikacji PlannerMag dostępnej pod adresem plannermag.io jest:
DREAMIT Maciej Krawczyk
Poligonowa 49, 99-400 Zielkowice
NIP: 8341820659
E-mail kontaktowy: privacy@plannermag.io
Adres do korespondencji: info@plannermag.io
W sprawach dotyczących ochrony danych osobowych można kontaktować się pod adresem e-mail: privacy@plannermag.io
§ 2. Zakres i Cel Przetwarzania Danych
PlannerMag przetwarza dane osobowe w następujących celach i zakresach:
2.1 Dane konta użytkownika
| Kategoria danych | Cel przetwarzania | Podstawa prawna |
|---|---|---|
| Adres e-mail | Rejestracja, logowanie, komunikacja | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Hasło (hashowane bcrypt) | Bezpieczeństwo konta | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Data rejestracji, ostatniego logowania | Bezpieczeństwo, zarządzanie kontem | Art. 6 ust. 1 lit. f RODO – uzasadniony interes |
| Adres IP (logowanie, rate limiting) | Ochrona przed nadużyciami | Art. 6 ust. 1 lit. f RODO – uzasadniony interes |
| Identyfikator klienta Stripe (stripe_customer_id) | Obsługa subskrypcji | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Sekret 2FA (jeśli włączone) | Bezpieczeństwo konta | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
2.2 Dane firmowe
W ramach korzystania z aplikacji użytkownik podaje dane dotyczące obsługiwanych przez siebie firm, w tym: nazwę firmy, branżę, lokalizację, URL strony internetowej, opis grupy docelowej, własne hashtagi, URL profilu Google Maps, nazwy użytkownika na platformach Instagram, Facebook, TikTok oraz powiązane metryki (liczba obserwujących, bio, kategoria).
W przypadku skorzystania z integracji z Meta API (Facebook/Instagram) aplikacja przechowuje dodatkowo: klucz dostępu API Meta (token dostępu do strony), identyfikator strony Facebook oraz identyfikator konta Instagram Business. Dane te są niezbędne do wykonywania operacji w imieniu użytkownika na jego własnych zasobach Meta i nie są udostępniane podmiotom trzecim.
Użytkownik może opcjonalnie zapisać dane identyfikacji wizualnej marki: kolory marki (podstawowy i dodatkowy), URL logo, krój pisma oraz opis stylu. Dane te są wykorzystywane wyłącznie do personalizacji generowanych treści.
2.3 Publicznie dostępne dane z mediów społecznościowych
W celu świadczenia usługi analizy mediów społecznościowych aplikacja pobiera i przetwarza publicznie dostępne dane, w tym:
- recenzje: imię autora, ocena, treść, data, źródło, wynik analizy sentymentu;
- komentarze: nazwa użytkownika / imię autora, treść komentarza, URL profilu (Facebook);
- dane postów: liczba polubień, komentarzy, wyświetleń;
- dane konkurentów: nazwa, username, bio, URL, metryki zaangażowania.
Podstawą prawną przetwarzania jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) polegający na świadczeniu usługi analizy i planowania treści, o którą wnioskuje użytkownik. Dane te są publicznie dostępne i zostały opublikowane przez ich autorów w przestrzeni publicznej.
2.4 Dane rozliczeniowe
PlannerMag przechowuje identyfikatory subskrypcji: stripe_customer_id oraz stripe_subscription_id. Dane karty płatniczej nie są zbierane ani przechowywane przez PlannerMag – są przetwarzane wyłącznie przez operatora płatności Stripe, Inc. na jego własnych serwerach zgodnie z jego polityką prywatności.
Na potrzeby wystawiania faktur VAT PlannerMag może zbierać i przechowywać dane rozliczeniowe podane przez Użytkownika w profilu rozliczeniowym: imię i nazwisko lub nazwę firmy, adres oraz Numer Identyfikacji Podatkowej (NIP). Dane te są przetwarzane na podstawie art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego – wystawienie faktury VAT) w związku z art. 106b–106i ustawy o podatku od towarów i usług.
Uwaga dotycząca NIP: NIP osoby fizycznej prowadzącej jednoosobową działalność gospodarczą stanowi dane osobowe w rozumieniu RODO, ponieważ jest przypisany do konkretnej osoby fizycznej. NIP spółki handlowej (np. sp. z o.o., S.A.) nie jest danymi osobowymi w rozumieniu RODO. W obu przypadkach NIP jest przechowywany wyłącznie przez okres wymagany przepisami podatkowymi (co najmniej 5 lat od końca roku podatkowego) i nie jest udostępniany podmiotom trzecim innym niż Stripe, Inc. w zakresie niezbędnym do realizacji płatności i fakturowania.
2.5 Dane techniczne i behawioralne
W celach diagnostycznych, bezpieczeństwa i optymalizacji usługi przetwarzamy: logi odświeżania danych, logi generowania planów treści, logi użycia API (operacja, dostawca, liczba tokenów, koszt w USD), adresy IP (w celach rate limitingu i ochrony przed nadużyciami), user-agenty oraz timestampy żądań.
§ 3. Pliki Cookie i Podobne Technologie
Baner zgody na pliki cookie umożliwia wybór między plikami niezbędnymi, analitycznymi oraz marketingowymi. Zgoda jest zapisywana w localStorage. Poniższa tabela zawiera pełny wykaz stosowanych technologii śledzących.
| Typ | Narzędzie | Opis | Podstawa |
|---|---|---|---|
| Niezbędne | Flask session cookie | Sesja logowania; wygasa po 4h nieaktywności; atrybuty: Secure, HttpOnly, SameSite=Lax | Niezbędne do świadczenia usługi |
| Niezbędne | Token CSRF | Ochrona formularzy przed atakami Cross-Site Request Forgery | Niezbędne do świadczenia usługi |
| Niezbędne | Token "Zapamiętaj mnie" | Opcjonalny; umożliwia utrzymanie sesji logowania | Niezbędne do świadczenia usługi |
| Analityczne | Plausible Analytics | Analityka ruchu z zastosowaniem minimalnej ilości danych, bez profilowania użytkowników i bez plików cookie śledzących | Uzasadniony interes (bez cookies, bez danych osobowych) |
| Marketingowe / Remarketing | Meta Pixel (Facebook Pixel) | Śledzenie behawioralne: rejestruje odwiedziny strony i zdarzenia (np. kliknięcie przycisku rejestracji). Dane są przekazywane do Meta Platforms, Inc. (USA) i mogą być wykorzystane do targetowania reklam na Facebooku i Instagramie oraz tworzenia grup niestandardowych odbiorców (Custom Audiences). Pixel ustawiany jest wyłącznie po wyrażeniu zgody na marketing. | Zgoda użytkownika (art. 6 ust. 1 lit. a RODO) |
| Preferencje | localStorage (cookie_consent) | Zapis wyboru preferencji dotyczących plików cookie (w formacie JSON z osobnymi polami dla analityki i marketingu) | Niezbędne do obsługi zgód |
3.1 Narzędzia monitorowania serwera (Sentry)
Aplikacja wykorzystuje narzędzie Sentry (Functional Software, Inc., USA) wyłącznie po stronie serwera, w celu monitorowania błędów i stabilności działania systemu. Sentry nie jest ładowane w przeglądarce użytkownika, nie ustawia plików cookie i nie jest wykorzystywane do profilowania użytkowników. Dane przesyłane do Sentry nie zawierają domyślnie danych osobowych użytkowników (send_default_pii=false), a przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora, polegającego na zapewnieniu bezpieczeństwa i ciągłości świadczenia usług (art. 6 ust. 1 lit. f RODO).
3.2 Meta Pixel — śledzenie behawioralne i remarketing
Serwis plannermag.io korzysta z Meta Pixel (Facebook Pixel) — narzędzia analityki konwersji i remarketingu dostarczanego przez Meta Platforms, Inc. (1 Hacker Way, Menlo Park, CA 94025, USA). Meta Pixel jest uruchamiany wyłącznie po wyrażeniu przez użytkownika wyraźnej zgody na pliki cookie marketingowe.
Jakie dane są zbierane: Meta Pixel automatycznie zbiera adres IP użytkownika, informacje o przeglądarce (user-agent), czas wizyty, adres URL odwiedzanej strony oraz dane zdarzeń (np. PageView przy każdej wizycie oraz Lead po kliknięciu przycisku rejestracji). Dane te są przesyłane do serwerów Meta i mogą być powiązane z profilem użytkownika w serwisach Facebook lub Instagram, jeśli użytkownik jest do nich zalogowany.
Cel przetwarzania: pomiar skuteczności reklam PlannerMag wyświetlanych w serwisach Meta (Facebook, Instagram), tworzenie grup niestandardowych odbiorców (Custom Audiences) oraz grup podobnych odbiorców (Lookalike Audiences) na potrzeby kampanii remarketingowych.
Przekazywanie danych poza EOG: dane zebrane przez Meta Pixel są przekazywane do Meta Platforms, Inc. z siedzibą w USA. Transfer odbywa się na podstawie standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską. Użytkownik może zapoznać się z polityką prywatności Meta pod adresem: facebook.com/privacy/policy.
Cofnięcie zgody: użytkownik może w każdej chwili cofnąć zgodę na pliki cookie marketingowe, klikając link "Zarządzaj zgodami" w stopce strony lub kontaktując się z administratorem pod adresem privacy@plannermag.io. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej cofnięciem. Użytkownik może też skorzystać z narzędzia Meta do rezygnacji z reklam: facebook.com/ads/preferences.
§ 4. Odbiorcy Danych – Podmioty Przetwarzające
W ramach świadczenia usługi dane mogą być przekazywane następującym podmiotom przetwarzającym:
| Podmiot | Kraj / Region | Cel przetwarzania | Zabezpieczenie transferu |
|---|---|---|---|
| Anthropic, Inc. (Claude API) | USA | Generowanie planów treści, analiza sentymentu, opisy firm | SCC / DPA dostawcy |
| Perplexity AI, Inc. | USA | Analiza trendów branżowych, badanie konkurencji | SCC / DPA dostawcy |
| Leonardo Interactive Pty Ltd (Leonardo.ai) | USA / UE | Generowanie obrazów AI do postów | SCC / DPA dostawcy |
| Apify Technologies s.r.o. | Czechy (UE) | Agregacja publicznie dostępnych danych z platform społecznościowych | W ramach EOG |
| Google LLC (OAuth) | USA | Uwierzytelnianie użytkowników przez Google | SCC / DPA dostawcy |
| Google LLC (Fonts) | USA | Dostarczanie czcionki Inter | SCC / DPA dostawcy |
| Brevo (Sendinblue SAS) | Francja (UE) | Relay SMTP – e-maile transakcyjne | W ramach EOG |
| Plausible Analytics OÜ | Estonia (UE) | Privacy-focused analityka ruchu | W ramach EOG |
| Meta Platforms, Inc. (Meta Pixel) | USA | Remarketing i pomiar konwersji reklam (wyłącznie po wyrażeniu zgody na marketing) | SCC / DPA dostawcy |
| Sentry (Functional Software, Inc.) | USA | Monitoring i diagnostyka błędów (opcjonalny) | SCC / DPA dostawcy |
| Stripe, Inc. | USA | Obsługa płatności i fakturowania | SCC / DPA dostawcy |
| PostgreSQL (self-hosted) | Infrastruktura własna | Baza danych aplikacji | Kontrola administratora |
| Redis (self-hosted) | Infrastruktura własna | Rate limiting, cache | Kontrola administratora |
§ 5. Przekazywanie Danych Poza Europejski Obszar Gospodarczy
Część danych jest przekazywana do podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w szczególności do USA, na podstawie standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską lub innych mechanizmów prawnych zapewnionych przez poszczególnych dostawców. Dotyczy to następujących dostawców: Anthropic, Perplexity, Stripe, Google (OAuth i Fonts), Sentry, Leonardo.ai, Meta Platforms, Inc. (Meta Pixel — wyłącznie po wyrażeniu zgody na marketing).
Użytkownik ma prawo do uzyskania kopii stosowanych zabezpieczeń transferu danych poprzez kontakt z administratorem pod adresem privacy@plannermag.io.
§ 6. Okres Przechowywania Danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta użytkownika | Do czasu zakończenia umowy, następnie przez 90 dni (możliwość odzyskania), po czym usuwane lub anonimizowane; dane finansowe (Stripe) przechowywane zgodnie z wymogami podatkowymi (min. 5 lat) |
| Dane firmowe i powiązane (posty, recenzje, komentarze, konkurenci) | Do czasu usunięcia firmy przez użytkownika lub administratora; po usunięciu konta – usuwane w ramach 90-dniowego okresu retencji |
| Dane do potwierdzenia adresu e-mail (linki) | 7 dni |
| Linki do resetu hasła | 7 dni |
| Sesja logowania | 4 godziny od ostatniej aktywności |
| Dane subskrypcji i faktury (Stripe) | Zgodnie z wymogami podatkowymi – co najmniej 5 lat od końca roku podatkowego |
| Logi API, logi generowania planów, logi odświeżeń | Do czasu usunięcia powiązanej firmy lub konta; usuwane w ramach 90-dniowego okresu retencji po zakończeniu umowy |
| Adresy IP (rate limiting) | Do 90 dni – zgodnie z polityką rotacji cache |
§ 7. Prawa Osób, Których Dane Dotyczą
Na podstawie RODO przysługują Państwu następujące prawa:
| Prawo | Status w PlannerMag |
|---|---|
| Prawo dostępu do danych (art. 15 RODO) | Użytkownik ma wgląd do danych swoich firm w panelu aplikacji. Pełny dostęp do danych na wniosek przesłany na privacy@plannermag.io |
| Prawo do sprostowania danych (art. 16 RODO) | Częściowo dostępne – poprzez edycję danych w formularzach aplikacji. Pozostałe dane na wniosek administratora |
| Prawo do usunięcia danych (art. 17 RODO) | Dostępne samoobsługowo w panelu aplikacji. Po złożeniu wniosku użytkownik otrzymuje e-mail z linkiem potwierdzającym (ważny 48h). Po potwierdzeniu konto jest oznaczone do usunięcia z 30-dniowym okresem na anulowanie decyzji, po którym następuje automatyczne, trwałe usunięcie wszystkich danych. Wniosek można też złożyć na privacy@plannermag.io |
| Prawo do ograniczenia przetwarzania (art. 18 RODO) | Realizowane na wniosek przesłany na privacy@plannermag.io |
| Prawo do przenoszenia danych (art. 20 RODO) | Dostępne samoobsługowo w panelu aplikacji – eksport danych w formacie JSON obejmujący dane konta, profile firm, plany treści, posty, filmy, karuzele i historię subskrypcji. Możliwy również na wniosek przesłany na privacy@plannermag.io |
| Prawo sprzeciwu (art. 21 RODO) | Dotyczy przetwarzania na podstawie uzasadnionego interesu – realizowane na wniosek |
| Cofnięcie zgody na pliki cookie | Dostępne poprzez baner cookie na stronie |
Wnioski dotyczące praw można składać: drogą elektroniczną na adres privacy@plannermag.io lub pisemnie na adres siedziby administratora. Administrator zobowiązuje się do udzielenia odpowiedzi w terminie 30 dni od daty otrzymania wniosku (z możliwością przedłużenia o kolejne 60 dni w przypadkach uzasadnionych złożonością sprawy).
§ 8. Prawo do Wniesienia Skargi
Przysługuje Państwu prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO):
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
Telefon: 22 531 03 00
E-mail: kancelaria@uodo.gov.pl
www.uodo.gov.pl
§ 9. Bezpieczeństwo Danych
Administrator stosuje następujące środki techniczne i organizacyjne w celu ochrony danych osobowych:
- hashowanie haseł przy użyciu algorytmu bcrypt;
- szyfrowanie komunikacji protokołem TLS (HTTPS);
- atrybuty bezpieczeństwa plików cookie: Secure, HttpOnly, SameSite=Lax;
- tokeny CSRF chroniące formularze przed atakami Cross-Site Request Forgery;
- mechanizm rate limiting oparty o Redis w celu ochrony przed atakami brute-force;
- opcjonalne uwierzytelnianie dwuskładnikowe (2FA/TOTP);
- sesje wygasające po 4 godzinach nieaktywności;
- kontrola dostępu oparta na rolach (Owner – Employee) z ograniczonym zakresem uprawnień;
- opcjonalny monitoring błędów i incydentów bezpieczeństwa (Sentry).
§ 10. Przetwarzanie Publicznie Dostępnych Danych z Platform Społecznościowych
W celu świadczenia usługi analizy i planowania treści marketingowych, aplikacja PlannerMag agreguje publicznie dostępne dane z platform społecznościowych (Instagram, Facebook, TikTok) oraz recenzje z Google Maps. Przetwarzane są wyłącznie dane, które zostały dobrowolnie opublikowane przez ich autorów w przestrzeni publicznej.
Zakres agregowanych danych obejmuje: publiczne posty, metryki zaangażowania (liczba polubień, komentarzy, wyświetleń), publiczne recenzje wraz z imieniem autora, oceną i treścią, oraz publiczne dane profilowe kont firmowych i ich konkurentów.
Podstawą prawną przetwarzania jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) polegający na świadczeniu usługi, o którą wnioskuje użytkownik. Dane te nie są wykorzystywane do celów reklamowych ani profilowania w rozumieniu art. 22 RODO.
Publicznie dostępne dane są następnie przetwarzane przez systemy AI w celu analizy sentymentu oraz przygotowania rekomendacji dotyczących treści. Administrator zobowiązuje się do przetwarzania wyłącznie danych publicznie dostępnych i niepodejmowania działań zmierzających do obejścia technicznych zabezpieczeń platform.
§ 11. Zmiany Polityki Prywatności
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach użytkownicy zostaną poinformowani drogą elektroniczną na adres e-mail powiązany z kontem lub poprzez widoczne powiadomienie w aplikacji, z odpowiednim wyprzedzeniem przed wejściem zmian w życie.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: plannermag.io/privacy
§ 12. Postanowienia Końcowe
W kwestiach nieuregulowanych niniejszą Polityką Prywatności stosuje się przepisy:
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO);
- Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781);
- Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
- Prawa telekomunikacyjnego w zakresie dotyczącym plików cookie.
Wersja 1.3 niniejszej Polityki Prywatności obowiązuje od dnia 11.03.2026. Poprzednia wersja 1.2 obowiązywała od 04.03.2026.
Maciej Krawczyk
Administrator Danych Osobowych